[zorp-hu] Skype

_Zorp zorp at provice.hu
2006. Jún. 20., K, 15:39:20 CEST 

Sziasztok!

Használ valaki Skype-ot Zorp tűzfal mögül élvezhető minőségben?

A problémám a következő:

A tűzfal úgy van beállítva, hogy alapvetően minden forgalmat blokkol, ami 
nem kell meghatározott feladatokhoz, így nincsenek szabadon használható 
portok sem kifelé, sem befelé. A HTTP forgalom a megfelelő alkalmazás 
proxyval és vírus ellenőrzéssel megy át a tűzfalon. A HTTPS forgalom ma 
még plug-proxyval működik, de ezt is tervezzük alkalmazás proxyra 
cserélni. Ilyen feltételek mellett azonban a Skype működik ugyan, de 
gyakorlatilag használhatatlan, annyira szagatottan megy át a hang.

A Skype dokumentációja szerint az ideális hálózati konfigurció a Skype 
számára:

1. Kimenő TCP forgalom engedélyezett az 1024 és nagyobb portokra
2. Kimenő TCP forgalom engedélyezett a 80 és 443 portokra
3. Kimenő UDP forgalom engedélyezett az 1024 és nagyobb portokra. Ahhoz, 
hogy az UDP-t használni tudja a Skype a NAT-nak engedélyeznie kell, hogy 
UDP válasz csomagok visszajussanak a küldőhöz (Az UDP "kapcsolatokat" 
minimum 30 másodpercig meg kell tartani, de azt javasolják, hogy ha lehet, 
akkor inkább 1 óráig legyenek aktívak az ilyen kapcsolatok.)
4. A NAT konzisztens fordítást kell alkalmazzon, azaz a kimenő 
címfordításnál használt port azonos a bejövő csomagoknál használt porttal 
UDP csomagok esetében.

A felsorolt környezet vállalati környezetben sok mindennek nevezhető, de 
nagyon biztonságosnak biztosan nem.

Persze van egy olyan jegyzet is a Skype dokumentációban, hogy mik a 
minimális feltételek a tűzfal mögüli használathoz:

- Lehetőleg legyen engedélyezett a kimenő TCP forgalom minden portra 
(1-65535)
- Ha ez nem lehetséges, akkor a 443-as TCP portra legyen engedélyezett a 
kimenő forgalom.
- Ha a fentiek nem lehetségesek, akkor a 80-as portra legyen engedélyezett 
a kimenő forgalom, de ügyeljünk arra, hogy nem jó az a megoldás, ahol a 
tűzfal ellenőrzi a 80-as porton a HTTP protokolt, mert a Skype nem 
használja a HTTP protokolt, így az ilyen tűzfal blokkolni fogja a Skype 
működését.
- Ha a fentiek nem lehetségesek, akkor a Skype képes HTTPS/SSL vagy SOCKS5 
proxy használatára.

Ezzel sem vagyok nagyon kisegítve. Gondolom esetemben a 443-as porton a 
Plug-proxyn keresztül megy, és a többi forgalom blokkolt, de így nem 
igazán használható rendeltetésének megfelelően.

Van valakinek esetleg olyan megoldása, ahol még elfogadható szintű a 
hálózati biztonság és megfelelő minőségben képes működni a Skype is? (Nem 
kell lemondani a 80 és 443 portok protokol elemzéséről, nem kell kinyitni 
az összes nagy TCP és UDP portot kifelé.) Van esetleg tapasztalat proxy 
használatra vonatkozóan és ha igen, akkor melyik proxy szofvert és mire 
figyelve érdemes használni?

A probléma biztosan a tűzfalon van, mert ha ugyanazt a gépet átteszem a 
tűzfal mögé, akkor nagyságrendeket javul a Skype hangminősége.

Előre is köszönöm a segítséget.

        Petya
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: http://lists.balabit.hu/pipermail/zorp-hu/attachments/20060620/1c2096f6/attachment.html

További információk a(z) zorp-hu levelezőlistáról